По сообщению исследовательского центр Digital Security, чтобы представить общественности результаты тестирования безопасности приложений для мобильного банкинга, «этичные хакеры» в течение года препарировали мобильные платежные приложения. Всего в исследовании упоминаются около 40 мобильных приложений российских банков.

В конце 2011 года Digital Security уже проводила подобное исследование систем интернет-банкинга, и результаты также оказались удручающими. Как сообщили «Б.О» в компании, после его публикации Digital Security не отслеживала, изменилось ли количество уязвимостей в исследованных системах, но количество банков, обращающихся за помощью в обеспечении безопасности систем ДБО, значительно увеличилось.

Результаты исследования мобильного банкинга подтверждают тенденцию, отмеченную экспертами в традиционных ежегодных отчетах по исследовательской работе в области безопасности систем ДБО. Разработчики мобильных банк-клиентов не уделяют достаточно внимания вопросам безопасности приложения, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения.

Так, 35% мобильных банков для iOS и 15% мобильных банков для Android содержат уязвимости, связанные с некорректной работой SSL, а это означает возможность перехвата критичных платежных данных с помощью атаки «человек посередине». 22% приложений для iOS потенциально уязвимы к SQL-инъекции, что создает риск кражи всей информации о платежах с помощью нескольких несложных запросов. 70% приложений для iOS и 20% приложений для Android потенциально уязвимы к XSS — одной из самых популярных атак, позволяющей ввести в заблуждение пользователя мобильного банк-клиента и таким образом, например, украсть его аутентификационные данные. 45% приложений для iOS потенциально уязвимы к XXE-атакам, особенно опасным для устройств, подвергнутым столь популярной в России операции jailbreak. Около 22% приложений для Android неправильно используют механизмы межпроцессного взаимодействия, тем самым фактически позволяя сторонним приложениям обращаться к критичным банковским данным.

«Надеюсь, что результаты этого исследования привлекут внимание банковских CISO к актуальным проблемам безопасности мобильных технологий. Проверка защищенности клиентских приложений методом статического анализа бинарного кода, проведенная нашим исследовательским центром, покрывает в лучшем случае 30% от общего фронта работ по анализу защищенности мобильных приложений, однако серьезные проблемы очевидны уже сейчас. Разработанный нами в процессе исследования внутренний инструмент анализа кода мы планируем в дальнейшем использовать для повышения качества услуг, которые мы предоставляем клиентам», — говорит директор Digital Security Илья Медведовский.

В тройку наиболее защищенных под iOS вошли приложения СИАБ, Мастер-Банка и ФГ «Лайф», под Android — СИАБ, Банка «Санкт-Перербург» и МТС-Банка.

Напомним, что недавно Сбербанк обнаружил группу мошенников, участники которой незаконно получали дубликаты SIM-карт оператора региональной мобильной связи, с помощью которых похищали средства клиентов через систему «Сбербанк ОнЛ@йн». Пока этот способ использовался при взломе интернет-банка, но, в принципе, может стать и частью плана злоумышленников, желающих совершать кражу с мобильных банков, привязанных к SIM-картам.